비밀번호 없는 로그인, 편한 기능이 아니라 보안의 변화입니다

패스키는 왜 비밀번호보다 안전하다고 할까

로그인 화면에서 비밀번호를 입력하다가 잠깐 멈춘 적이 있습니다. 이 비밀번호를 예전에 다른 사이트에서도 쓴 것 같고, 문자 인증 번호는 또 기다려야 하고, 휴대폰을 바꾸면 인증 앱도 다시 옮겨야 합니다. 로그인은 원래 이렇게 귀찮은 일이라고 생각했는데, 이제는 조금 다른 방식이 기본값으로 올라오고 있습니다.

바로 패스키(passkey)입니다. 영국 국가사이버보안센터(NCSC)는 2026년 4월 23일 발표에서, 가능한 곳에서는 비밀번호보다 패스키를 우선 사용하라고 권고했습니다. 단순히 “새로운 로그인 기능이 나왔다”는 정도가 아니라, 보안 기관이 개인 사용자에게 권하는 기본 인증 방식이 바뀌고 있다는 점이 눈에 들어옵니다.

한 줄로 보면
패스키는 외워서 입력하는 비밀번호가 아니라, 내 기기 안에 안전하게 보관된 열쇠로 로그인하는 방식입니다.

비밀번호는 왜 계속 불안할까

비밀번호의 가장 큰 문제는 사람이 기억해야 한다는 점입니다. 기억하기 쉬운 비밀번호는 공격자도 맞히기 쉽고, 어렵게 만들면 사용자가 여러 곳에 재사용하기 쉽습니다. 그래서 한 사이트에서 정보가 새면 다른 사이트 계정까지 위험해지는 일이 생깁니다.

문자 인증도 완벽한 해결책은 아닙니다. 문자는 중간에서 가로채기나 SIM 스와핑 같은 공격에 취약할 수 있고, 피싱 사이트가 실시간으로 인증번호를 받아 입력하게 만들 수도 있습니다. 사용자 입장에서는 “내가 직접 입력했으니 안전하겠지”라고 느끼지만, 공격자는 그 순간을 노립니다.

패스키는 열쇠를 서버에 맡기지 않습니다

패스키를 쉽게 비유하면, 사이트마다 다른 자물쇠와 내 기기에만 있는 열쇠를 맞춰보는 방식입니다. 사이트에는 공개된 정보만 있고, 실제로 중요한 개인 열쇠는 스마트폰이나 노트북, 또는 패스워드 관리자 안에 보관됩니다.

그래서 사용자는 비밀번호를 입력하는 대신 지문, 얼굴 인식, 기기 PIN처럼 평소 기기를 잠금 해제하는 방법으로 본인 확인을 합니다. 중요한 점은 이 과정에서 비밀번호처럼 외부에 입력되는 문자열이 없다는 것입니다. 피싱 사이트가 “비밀번호를 입력하세요”라고 속이기 어려워지는 이유도 여기에 있습니다.

NCSC는 패스키가 비밀번호처럼 가로채거나 재사용하기 어렵고, 강력한 비밀번호와 2단계 인증을 함께 쓰는 방식보다도 대체로 더 안전하다고 설명합니다. 물론 모든 서비스가 아직 패스키를 지원하는 것은 아니기 때문에, 지원하지 않는 곳에서는 여전히 강력한 비밀번호와 2단계 인증을 함께 써야 합니다.

편리함보다 중요한 건 복구 방식입니다

패스키 이야기를 들으면 가장 먼저 “휴대폰을 잃어버리면 어떻게 하지?”라는 생각이 듭니다. 이 질문은 꽤 중요합니다. 패스키가 안전하다고 해도, 계정 복구 과정이 허술하면 결국 다른 약한 문으로 들어가는 것과 비슷해지기 때문입니다.

대부분의 패스키는 애플, 구글, 삼성, 또는 별도 패스워드 관리자 같은 자격 증명 관리자에 저장되고 여러 기기에 동기화될 수 있습니다. 이 덕분에 기기를 바꿔도 다시 로그인할 수 있지만, 반대로 말하면 내가 어떤 관리자에 패스키를 보관하는지, 복구 이메일과 백업 기기는 안전한지 함께 봐야 합니다.

회사나 개발팀 입장에서는 더 조심할 부분도 있습니다. “패스키 지원”만 붙였다고 끝나는 것이 아니라, 계정 복구, 예외 처리, 관리자 권한, 기기 분실 시 절차를 함께 설계해야 합니다. 보안은 정문만 튼튼하게 만든다고 끝나지 않습니다. 옆문과 비상문도 같이 봐야 합니다.

일반 사용자는 어디서부터 바꾸면 좋을까

바로 모든 비밀번호를 없애려고 할 필요는 없습니다. 우선 자주 쓰는 이메일, 클라우드, 금융, 쇼핑 계정부터 보안 설정에 들어가 패스키 메뉴가 있는지 확인하는 정도로 충분합니다. 패스키를 만들었다면, 기존 비밀번호도 중복 사용하지 않게 정리하는 편이 좋습니다.

아직 패스키를 지원하지 않는 서비스라면 비밀번호 관리자를 쓰고, 문자 인증보다 인증 앱이나 보안키 같은 방식을 우선 고려하는 것이 현실적입니다. 패스키는 비밀번호를 당장 없애는 마법이 아니라, 로그인 보안을 조금씩 덜 위험한 방향으로 옮기는 방법에 가깝습니다.

저는 패스키의 핵심이 “편한 로그인”보다 “속이기 어려운 로그인”에 있다고 봅니다. 사용자가 기억해야 할 비밀을 줄이고, 기기와 서비스가 서로 맞는지 확인하게 만드는 구조이기 때문입니다. 앞으로 로그인 화면에서 패스키 선택지가 보이면, 그냥 새 기능으로 넘기기보다 내 계정을 조금 더 덜 불안하게 만드는 선택지로 봐도 좋겠습니다.

참고한 출처

• NCSC, “NCSC: Leave passwords in the past - passkeys are the future”, 2026.04.23, https://www.ncsc.gov.uk/news/ncsc-leave-passwords-in-the-past-passkeys-are-the-future
• NCSC, “Passkeys: what you need to know”, 확인일 2026.05.26, https://www.ncsc.gov.uk/passkeys
• Microsoft Tech Community, “Passkeys aren’t the finish line: Eliminating fallbacks and fixing recovery”, 2026.05.07, https://techcommunity.microsoft.com/blog/microsoft-entra-blog/passkeys-aren%E2%80%99t-the-finish-line-eliminating-fallbacks-and-fixing-recovery/3627345